Säkerhets koll av min sida innan nästa steg?

Kontrollerar att bilden är en giltig PNG (och samma för de andra formaten). Alternativt kontrollerar man att det inte finns några HTML-liknande konstruktioner i de första 1024 byten av filen (iirc). Alternativt skickar filen som octet-stream och med en content disposition som gör att den laddas ner istället för att visas i browsern.

IE sucks.

Alla åäö blir konstiga, är vel iofs mer en design miss.

Är väl mime types om jag inte missminner mig.
http://snipplr.com/view/1937/array-of-mime-types/

Jag verkade inte kunna ladda upp en fil som slutade på ".JPG", alltså filändelsen i versaler. Funkade utmärkt om filändelsen var ".jpg" dock.

Har väl inget med säkerheten att göra dock .

Precis. Så gör 95% av alla liknande sidor.

Varför svarar du
HTTP/1.x 200 OK
på
GET /upload/functions/yty ?

Det gör att min scanner inte kan göra någon nytta


Borde även kolla följande
http://www.olol.mine.nu/phpmyadmin/
username: admin och tomt lösenord, snarast.

Blev nervis när du sa sådär, så kollade upp det, den visar ingen databas, det finns tydligen en användare utan några privilegier alls, där man får ha vad som helst som användarnamn o tomt lösen. Skall tas bort. Vet inte varför den fanns där..

Sådär. Nu bör det inte gå att köra xss:n, phpmyadmin är fixxat, Sidan har lite ny struktur. Du kan inte längre se filerna direkt i webläsaren, utan du måste ladda hem dem. Var för "farligt" att låta filerna visas direkt. Kanske man kan göra det för jpg, gif. Vad jag vet så finns det inga hål för dem. Men PNG fanns det tydligen för.

Som sagt, testa vidare och skriv gärna även en rad ifall ni hittar något. Vet ni ett bra sätt att förhindra så mottages detta givetvis samtidigt.

//Olol

EDIT: iom den nya filstrukturen så raderade jag allas konton..

Ang. ditt uppladdningsscript
getimagesize hjälper dig med sårbarheten hos IE, då kan inte längre javascript köras igenom bilder(JPEG,JPG) i IE 6.0 <

[PHP]
if($exts == 'filformaten')
if(!getimagesize($file))
die("Det där är ingen bild!");
[/PHP]

Låt ingen ladda upp .php filer eller dyligt

Okej, skall fundera på det. Men tillsvidare får det nog bli download-only. tills jag fått grejj på designen, och sidan fungerar bra. Men kommer gå tillbaka till denna tråd ännu ett par gånger o kolla tips o förslag. (:

Nej, php, html, o.s.v. låter jag bli.. vill man ha upp sådanna får man zippa dem först.

Skall ta en extra kik på det där med getimagefilesize. Kanske göra undantag för jpg, samnt jpeg filer.

Sådär. Nu har vi kommit till den del då jag börjat fundera på designen. Min "konstnärliga talang" är tyvärr inte den bästa. Men kom fram till att jag ville ha en grön/limegrön toning på sidan. Testade några nyanser. Antingen blev de hemskt tråkiga, eller för skrikiga.
Så nu blev det blandning av 2 färger som jag tycker blev ganska neutral.

Designen fungerar rent utsagt för jävla dåligt i ie.. Den läser inte css:n som den skall. Opera och firefox3 däremot är det inga problem.

Har även lagt in lite text. Samnt ett litet "avtal" om att man inte får ladda upp olagligt material.

Är det något med designen som ni har synpunkter på. Funktionerna, eller annat så skriv gärna en rad. Nästa del är väl kanske att man skall få radera filer man laddat upp.

Måste dock fundera lite mera på design delen innan det är dags för något sådant.. Är inte riktigt nöjd med den. Men vet inte heller hur jag vill ha det så..


edit: Funderar på blå bakgrund, o sen limegrön "sida". Vad tros om det, blir lite för mkt grönt just nu..

http://www.wellstyled.com/tools/colorscheme2/index-en.html

Där kan du välja en färg och hitta passande färger!